Information Security

Security Policy

Die Bizerba SE & Co. KG misst der Sicherheit ihrer Informationstechnologie-Systeme und Produkte höchste Bedeutung bei. Trotz sorgfältiger Implementierung, Konfiguration und Prüfung unserer Systeme können potenzielle Schwachstellen nicht vollständig ausgeschlossen werden.

Richtlinie zur verantwortungs­vollen Offenlegung (Responsible Disclosure Policy)

Entdecken Sie Schwachstellen in unseren IT-Systemen, Webanwendungen oder Produkten, bitten wir Sie, uns diese mitzuteilen. Wir werden umgehend Massnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu analysieren und ggf. zu beheben. Die Responsible Disclosure Policy der Bizerba darf nicht ohne unsere Zustimmung für die Aufbereitung oder Weiterleitung von Schwachstellenmeldungen in Programmen Dritter verwendet werden.

Ausgeschlossene Systeme oder Produkte

Folgende Produkte oder Systeme sind von dieser Policy ausdrücklich ausgeschlossen, sofern kein Zustimmung seitens des Besitzers vorliegt:

  • Kundengeräte und -Software: Alle physischen Geräte und Maschinen sowie Software, die im Besitz eines Kunden sind. Dies umfasst, ist aber nicht beschränkt auf, Waagen, Etikettierer, Schneidemaschinen und andere Hardware -und Software-Produkte von Bizerba, die sich in der Kontrolle und im Besitz des Kunden befinden.
  • Drittanbieter-Systeme: Systeme und Dienstleistungen, die von Dritten betrieben und nicht direkt von Bizerba kontrolliert werden.

Vorgehen

Bitte beachten Sie folgendes Vorgehen:

  • Übermitteln Sie Ihre Erkenntnisse zu dem Sicherheitsproblem per E-Mail an security@bizerba.com . Bitte nutzen Sie unseren PGP-Schlüssel zur Verschlüsselung Ihrer Dokumentation, um die Sicherheit sensibler Informationen zu gewährleisten. Für eine optimierte Kommunikation bitten wir Sie, die untenstehende Formatvorlage zu verwenden.
  • Nutzen Sie die Schwachstelle nicht aus, indem Sie Daten herunterladen, verändern, löschen oder Code hochladen.
  • Geben Sie keine Informationen über die Schwachstelle an Dritte weiter, es sei denn, Bizerba hat dies genehmigt.
  • Führen Sie keine Angriffe durch, die unsere IT-Systeme, Infrastruktur oder personenbezogene Daten kompromittieren, verändern oder manipulieren könnten.
  • Vermeiden Sie Social-Engineering-Angriffe (z.B. Phishing), (Distributed) Denial-of-Service-Angriffe, Spam oder andere Angriffe dieser Art gegen Bizerba.
  • Stellen Sie ausreichende Informationen bereit, um das Problem nachvollziehen und analysieren zu können, und bieten Sie eine Kontaktmöglichkeit für Rückfragen an.

Unser Versprechen

  • Wir bemühen uns, die Schwachstelle so schnell wie möglich zu analysieren und ggf. zu schliessen.
  • Sie erhalten eine Bestätigung über den Eingang Ihrer Meldung sowie eine Rückmeldung zu Ihrem Bericht.
  • Wenn Sie gemäss dieser Sicherheitsrichtlinie handeln, werden die Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt werden.
  • Wir behandeln Ihren Bericht vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter.
  • Wir informieren Sie über die Validität und Behebung der Schwachstelle während des Bearbeitungszeitraums.

Qualifizierte Meldung von Schwachstellen

Jedes Design- oder Implementierungsproblem, das reproduzierbar ist und die Sicherheit beeinträchtigt, kann gemeldet werden. Beispiele hierfür sind:

  • Rechteausweitung
  • Kiosk-Modus-Ausbruch
  • Unbefugter Zugriff auf Eigenschaften oder Konten
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Insecure Direct Object Reference
  • Remote Code Execution (RCE) – Injection Flaws
  • Informationsleck und unsachgemässe Fehlerbehandlung
  • Möglichkeit der Exfiltration von Daten/Informationen
  • Aktiv ausnutzbare Hintertüren (Backdoors)
  • Möglichkeit einer unautorisierten Systemnutzung
  • Fehlkonfigurationen
  • Daten-/Informationslecks

Nicht-qualifizierte Schwachstellen

Folgende Schwachstellen fallen nicht unter die Vulnerability-Disclosure-Policy von Bizerba und sollten nicht gemeldet werden:

  • Angriffe, die physischen Zugriff auf das Gerät erfordern
  • Formulare mit fehlenden CSRF-Token, sofern die Kritikalität das Common Vulnerability Scoring System (CVSS) Stufe 6 nicht übersteigt
  • Denial-of-Service-Angriffe (DoS/DDoS)
  • Fehlende Sicherheitsheader, die nicht direkt zu einer ausnutzbaren Schwachstelle führen
  • Die Verwendung einer als anfällig bekannten Bibliothek ohne aktiven Nachweis der Ausnutzbarkeit
  • Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation
  • Social Engineering gegen Personen oder Einrichtungen von Bizerba und deren Auftragnehmer
  • SPAM, Bots , Massenregistrierung
  • Keine Einreichung von Best Practices
  • Verwendung von anfälligen und „schwachen“ Cipher-Suites/Chiffren

Formatvorlage für eine Schwachstellenmeldung

  • Titel/Bezeichnung der Schwachstelle
  • Typus der Schwachstelle
  • Kurzerklärung der Schwachstelle (ohne technische Details)
  • Betroffenes Produkt/Dienst/IT-System
    - Produkt
    - Version/Modell (z.B. über Gerätepass)
  • Technische Details und Beschreibung der Schwachstelle
  • Proof of Concept
  • Ggf. aufzeigen einer Lösungsmöglichkeit
Kontaktieren Sie uns